Google-Fonts-Abmahnwelle: BGH schickt Grundsatzfragen zu IP-Adressen an den EuGH

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die juristische Auseinandersetzung über die dynamische Einbindung von Google Fonts geht in die nächste und entscheidende Runde. Der Bundesgerichtshof (BGH) hat mit einem unlängst gefassten Beschluss ein Verfahren ausgesetzt, um dem Europäischen Gerichtshof (EuGH) drei zentrale Fragen zur Vorabentscheidung vorzulegen. Der Fall mit dem Aktenzeichen VI ZR 258/24 könnte das Ende für ein Geschäftsmodell bedeuten, das in den vergangenen Jahren tausende Webseite-Betreiber in Atem hielt: die systematische Provokation von Datenschutzverstößen zum Zweck massenhafter Abmahnungen.

Der BGH erläutert dazu: Der Beklagte habe einen Webcrawler benutzt, „um automatisiert eine Vielzahl von Webseiten auf die dynamische Einbindung von Google Fonts zu überprüfen“. Unter anderem beim Webauftritt des Klägers habe er so einen „Treffer“ erzielt. Unter Zuhilfenahme einer weiteren extra dafür entwickelten Software sei ein Besuch des Beklagten auf der Homepage des Klägers automatisiert vorgenommen worden. Die dabei an den Beklagten zu vergebene dynamische IP-Adresse sei an Google in den USA weitergeleitet worden.

Die erste Frage, die der EuGH laut der inzwischen veröffentlichten Vorlage vom 28. August nun klären soll, betrifft ein Fundament des Datenschutzes: Wann genau ist eine Information „personenbezogen“ im Sinne von Artikel 4 der Datenschutz-Grundverordnung (DSGVO)? Die Berufungsinstanz in Form des Landgerichts Hannover hatte zuvor argumentiert, dass die dynamisch vergebene IP-Adresse im konkreten Fall kein personenbezogenes Datum sei. Grund: Der US-Konzern Google verfüge nicht über die rechtlichen Mittel, den Besucher mithilfe seines Internetzugangsanbieters zu identifizieren.

„Kontrollverlust“ gezielt herbeigeführt

Der BGH äußert hier indes Zweifel. Er will wissen, ob ein „relativer Maßstab“ gilt. Damit würde es darauf ankommen, ob der Empfänger der Daten die Person grundsätzlich identifizieren kann. Greife dagegen ein „objektiver Maßstab“, würde auch eine dynamische IP-Adresse bereits dann personenbezogen sein, wenn irgendjemand, etwa der Provider, den Bezug zu der Person herstellen kann. Sollte der EuGH diesem „objektiven“ Ansatz folgen, wäre die Hürde für Datenschutzverstöße bei der Übermittlung von IP-Adressen deutlich niedriger als bisher von vielen Gerichten angenommen.

Noch vertrackter ist die zweite Vorlagefrage, die sich mit dem Begriff des immateriellen Schadens nach Artikel 82 der DSGVO befasst. Bisher sahen Gerichte in einem Schaden oft eine „unfreiwillige Einbuße“. Im vorliegenden Casus hat der Beklagte den Verstoß jedoch bewusst und aktiv herbeigeführt, nur um ihn dokumentieren und finanziell geltend machen zu können.

Der BGH will hier wissen, ob ein immaterieller Schaden überhaupt vorliegen kann, wenn eine betroffene Person die Kontrolle über ihre Daten nicht unfreiwillig abtritt, sondern den „Kontrollverlust“ gezielt inszeniert. Dies gilt insbesondere dann, wenn solche Verstöße in großer Zahl automatisiert ausgelöst werden. Der EuGH hat in der Vergangenheit zwar bereits wiederholt betont, dass der Schadensbegriff weit auszulegen ist. Eine Antwort auf die Frage der bewussten Provokation steht aber noch aus.

Hinweis auf Datenschutzprobleme?

Die dritte Frage schlägt die Brücke zum Rechtsmissbrauch. Selbst wenn Juristen einen Verstoß und einen formalen Schaden bejahten, könnte ein Anspruch nach Treu und Glauben ausgeschlossen sein. Der BGH bittet um Klarstellung: Kann ein Schadensersatzanspruch verneint werden, wenn die betroffene Person die Bedingungen für diesen Anspruch künstlich geschaffen hat, um sich einen finanziellen Vorteil zu verschaffen?

Dabei ist entscheidend, ob die Erlangung eines Geldbetrags die alleinige Motivation sein muss oder ob es ausreicht, wenn dieses finanzielle Interesse deutlich im Vordergrund stand. Das Berufungsgericht konnte in der Sache nämlich nicht ausschließen, dass der Beklagte womöglich auch das Ziel verfolgte, auf Datenschutzprobleme hinzuweisen.

Skepsis gegenüber Massenabmahnungen

Die EuGH-Entscheidung dürfte wegweisend für die digitale Wirtschaft sein. Einerseits gehe es darum, ob die DSGVO weiterhin als scharfes Schwert für den Schutz der Privatsphäre dient, weiß der IT-Rechtler Jens Ferner. Andererseits müsse verhindert werden, dass sie zum Werkzeug für automatisierte Klage-Industrien verkomme. Während das Berufungsgericht das Verhalten der Beklagten als sittenwidrige vorsätzliche Schädigung nach Paragraf 826 BGB einstufte, da Ansprüche gezielt provoziert wurden, muss der EuGH jetzt die Komponente des EU-Rechts abschließend beleuchten.

Für Website-Betreiber bleibt die Lage bis zum Urteil aus Luxemburg, das erst in einigen Monaten oder Jahren ergehen dürfte, zwar unsicher. Die BGH-Vorlage signalisiert aber, dass die Karlsruher Richter der massenhaften Abmahnpraxis mit erheblicher Skepsis gegenüberstehen. Die Zeit der leichten Gewinne durch automatisierte Crawler-Besuche könnte bald vorbei sein.

Bereits 2016 entschied der EuGH: Pseudonymisierte Daten – wie eine dynamische IP-Adresse – sind nicht automatisch anonym. Solange die Möglichkeit besteht, die Identität der Person durch „zusätzliche Informationen“ wiederherzustellen, bleibt der Personenbezug bestehen. Der entscheidende Aspekt dabei ist, ob der Datenverantwortliche über die Mittel zur Re-Identifizierung verfügt. Dies schließt die Option der Kooperation mit Dritten wie Internetprovidern oder Behörden ein.

(nie)